Bloqueando o Ultrasurf através do Netfilter/Iptables versão 10.10

Publicado por Manoel Felipe Ramos em 24/06/2011

[ Hits: 7.888 ]

0 0

Denuncie Favoritos Indicar Impressora

Bloqueando o Ultrasurf através do Netfilter/Iptables versão 10.10

Obs.: Esta dica é um upgrade da dica:

Bloqueando-o-Ultrasurf-atraves-do-Netfilter-Iptables-versao-10.08

Creio que o UltraSurf é a maior dor de cabeça para qualquer Administrador de Rede e Security Officer na atualidade! Após várias análises em artigos, pesquisas e tentativas sem sucesso, decidi estudar melhor esta aplicação, até que consegui o bloqueio sem ter que fechar as conexões 443 nas redes dos meus clientes.

Procedimento para bloqueio

Obs.: Esta dica funciona até a última versão do Ultrasurf, a 10.10, disponibilizada até a publicação desta dica. Não sei se irá funcionar para as próximas versões!

O bloqueio é feito diretamente no Firewall (Netfilter / Iptables).

Basta colocar as linhas abaixo no final do seu Iptables:

#REGRA COMPLETA PARA BLOQUEÁ-LO:
iptables -I FORWARD -p tcp --dport 19769 -j DROP
iptables -I FORWARD -p tcp --dport 55433 -j DROP
iptables -I FORWARD -p tcp --dport 33190 -j DROP
iptables -I FORWARD -p tcp --dport 19769 -j DROP
iptables -I FORWARD -p tcp --dport 23620 -j DROP
iptables -I FORWARD -p tcp --dport 3103 -j DROP
iptables -I FORWARD -p tcp --dport 3162 -j DROP
iptables -I FORWARD -p tcp --dport 2000:3000 -j DROP

iptables -I FORWARD -p tcp -d 65.49.2.0/24 -j DROP
iptables -I FORWARD -p tcp -s 65.49.2.0/24 -j DROP
iptables -I FORWARD -p tcp -d 65.49.14.0/24 -j DROP
iptables -I FORWARD -p tcp -s 65.49.14.0/24 -j DROP
iptables -I FORWARD -p tcp -d 208.43.202.0/24 -j DROP
iptables -I FORWARD -p tcp -s 208.43.202.0/24 -j DROP
iptables -I FORWARD -d 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 111.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 111.0.0.0/8 -p tcp --destination-port 443 -j DROP

Obs.: Note que bloqueei os ranges dos IP's somente nas conexões 443 de HTTPS (Esta regra foi testada nos 2 firewalls!).

Mas lembrem-se, a porta 80 tem que estar redirecionando para a 3128 do Squid, caso contrário, deve-se bloquear a 80 ou 8080 para os ranges das redes que foram informadas acima.

Também podemos bloquear todos os ranges, o problema é que se quisermos acessar algumas destas redes, não vamos conseguir!

Outras dicas deste autor

Bloqueando o Ultrasurf através do Netfilter/Iptables versão 10.08

Leitura recomendada

Quebrando tudo: HPC com Cluster Debian e John The Ripper

Detectando sniffers

VPNC conectando de 5 em 5 minutos, sem queda!

PUCK: Uma distribuição Linux com as melhores ferramentas de teste de intrusão

CentOS 5 - Remover pacotes desnecessários

Comentários

[1] Comentário enviado por luizbarcelos em 24/06/2011 - 17:14h

Parabéns, Realmente uma regra que funciana,
Já testei em dois firewalls, e acabei com a bagunça.

0 0

[2] Comentário enviado por luizbarcelos em 24/06/2011 - 17:22h

Que pena, Com a versão 1015 do ultrasurf não bloqueia.

0 0

[3] Comentário enviado por luizbarcelos em 24/06/2011 - 19:54h

Cara Desculpa, acho que não testei o suficiente.
Mas notei que mesmo conectado por alguns
Segundos não conecta mesmo. Vou continuar os testes esse final de
Semana, qualquer coisa eu posto novamente. o ultrasurf não altera o proxy do firefox.
Valeu!

0 0

[4] Comentário enviado por manoel-ramos em 24/06/2011 - 21:35h

Vou testar a versão 10.15 e depois posto aqui!

0 0

[5] Comentário enviado por luizbarcelos em 25/06/2011 - 11:50h

Realmente esta funcionando, bloqueando mesmo.

0 0

[6] Comentário enviado por mperalta em 05/07/2011 - 13:32h

Boa tarde amigo,

venho tentando bloquear o ultrasurf sem êxito.
Não entendi a parte "Mas lembrem-se, a porta 80 tem que estar redirecionando para a 3128 do Squid, caso contrário, deve-se bloquear a 80 ou 8080 para os ranges das redes que foram informadas acima",
Meu iptables está redirecionando para 8080 (dansguardian)

Como ficaria o script para este caso?

Obrigado

0 0

[7] Comentário enviado por manoel-ramos em 05/07/2011 - 13:41h

Olá @mperalta!

No seu caso vai funcionar perfeitamente, sem que você altere nada!
A única questão é que a porta 80 deverá estar redirecionada para o seu Proxy, pois se 80 estiver liberada, ele vai navegar!
Como no seu caso está redirecionando para a 8080, não tem problema, vai funcionar perfeitamente!

Abraços!

0 0

[8] Comentário enviado por luizbarcelos em 05/07/2011 - 14:25h

Infelizmente parou de bloquear.
Valeu.

0 0

[9] Comentário enviado por manoel-ramos em 05/07/2011 - 14:59h

Vou analizar e postarei aqui em breve!

0 0

[10] Comentário enviado por falcom em 29/11/2011 - 12:03h

Funciona en un entorno sin proxy transparente, pero si tenemos una lan con proxy transparente bloquea el acceso a sitios https como gmail, yahoo, hotmail etc.
English
don't work in a lan with a transparent proxy because block access to gmail, yahoo, hotmail etc..
Helpme please !

0 0

[11] Comentário enviado por manoel-ramos em 29/11/2011 - 13:23h

Usted debe bloquear el puerto https sólo para las direcciones de las redes de UltraSurf.

Sigue la regla:

iptables -I FORWARD -d 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 111.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 111.0.0.0/8 -p tcp --destination-port 443 -j DROP

0 0

[12] Comentário enviado por falcom em 29/11/2011 - 18:04h

ok voy a tratar nuevamente!

0 0

[13] Comentário enviado por falcom em 29/11/2011 - 18:07h

Gracias, funciona perfectamente testeado con la version 11.03 de ultrasurf, en un entorno con proxy transparente!
saludos from Ecuador! south America

0 0